het zal wel weer met een sisser aflopen... Nederlands rechtsysteem

Als digibeet sta je met 1 0 achter. Gelukkig zijn de bedragen nog relatief laag dus men zal er niet gelijk failliet aan gaan. Dat is met ransomware of cobra/ied afpersing wel erger...

En dit is dus precies waarom we minstens 4 wijzigingen nodig hebben op internet:

1) Bij het eerste bezoek aan een website (en bij relevante wijzigingen) moeten alle browsers, voordat er content van de website geladen wordt, een fullscreen pagina met, onder meer, alle bekende informatie over die website tonen. En browsers moeten daarin luider waarschuwen naarmate minder (betrouwbare) info beschikbaar is. De gebruiker kan dan een mate van vertrouwen kiezen (bijv. aangegeven met een achtergtondkleur van de adresbalk naar keuze).

2) Er zijn betrouwbaarder certificaatuitgevers nodig die door aantoonbaar onafhankelijke partijen worden geaudit, waarmee hun niveau van "betrouwbaarheid" wordt vastgesteld. Dat niveau moet worden opgenomen in uitgegeven certificaten (en weergegeven onder punt 1). Ook de mate van betrouwbaarheid waarmee de identiteit van de verantwoordelijke voor een website is vastgesteld krijgt een cijfer (nul bij Domain Validated certificaten) dat in tevens het certificaat wordt opgenomen.

3) Certificaten moeten worden voorzien van meer velden voor betrouwbaarder identificatie van de verantwoordelijke partij voor een website.

4) Browsers moeten worden voorzien van een ingebouwde of online uitleg waarom dit noodzakelijk is, en wat dit wel en niet garandeert. Aanvullende educatie is zeer wenselijk, bijv. middels campagnes van de overheid.

Zie https://security.nl/posting/881296 en voor een plaatje van Chrome die absurd weinig gegevens toont uit het laatste certificaat van Stripe, inc, zie https://infosec.exchange/@ErikvanStraten/114224682101772569 (alternatief mocht die pagina niet willen openen: https://archive.is/qxs48, scroll een stukje voor mijn reactie met de Chrome Certificate Viewer).

Aanvulling 13:30: het is ook waanzin om te proberen mensen te leren om echte- van phishingberichten te onderscheiden. Dat kan nooit betrouwbaar: zie https://security.nl/posting/881663. Het schaalt niet om elk individu te laten uitzoeken of een online resource nep is of echt. Om precies dezelfde reden dat overheden identiteitsbewijzen uitgeven aan burgers, heb je betrouwbare derde partijen nodig die vaststellen of een eigenaar van een online resource is wie die persoon claimt (of suggereert) te zijn. Ik zie geen enkele andere betrouwbare oplossing.

#BigTechIsEvil

Ik herinner me opeens dat het me in de jaren '90 eigenlijk al verbaasde dat ik niet een PGP-sleutel bij de burgerlijke stand kon laten ondertekenen voor correspondentie waarin mijn identiteit geverifieerd moest worden. En dus (bedacht ik mogelijk later) ook certificaten voor domeinnamen, bij de burgerlijke stand voor particulieren en bij de KvK (een zelfstandig bestuursorgaan in Nederland) voor bedrijven. Die kennen de betrokken partijen al.

Met andere woorden: waarom moeten identiteiten op het internet geverifieerd worden door particuliere, commerciële partijen terwijl identificatiemiddelen altijd al een overheidstaak waren? Alleen omdat het internet opkwam in een tijd van neoliberaal watertanden bij het idee van een zo klein mogelijke overheid, vermoed ik.

Lang geleden heb ik ervoor gepleit dat de Kamer van Koophandel dit voor commerciële partijen zou doen - dit is immers bij uitstek hun taak.

Anderzijds weet ik dat ooit een afdeling van de Politie een websitecertificaat ergens voor nodig had en de uitverkoren certificaatverstrekker vervolgens een KvK-nummer vereiste (dat de Politie niet heeft, in elk geval toen niet).

Betrouwbare authenticatie is lastig en arbeidsintensief, zoals uitzoeken of het individu dat een certificaat aanvraagt überhaupt geautoriseerd is om dat namens een organisatie te doen (en het niet iemand is die de boel belazert).

Oftewel: in tegenstelling tot de (verhoudingsgewijs!) eenheidsworst van individuele burgers die een paspoort komen aanvragen, zijn er allerlei soorten entiteiten die websitecertificaten nodig hebben.

De grootste fout de we in het verleden hebben gemaakt is de slager diens eigen vlees laten keuren (het C/AB forum). Dat websitecertificaten zinvol en betrouwbaar zijn is in ons belang, ons in de zin van bezoekers van websites.

M.i. is ruimschoots aangetoond dat we deze verantwoordelijkheid niet aan degenen kunnen toevertrouwen die zich deze verantwoordelijkheid hebben toegeëigend: big tech. Want het is in hun economische belang om zoveel mogelijk cloudservers en domeinnamen te verhuren, tegen zo laag mogelijke prijzen en de huurders daarbij zoveel mogelijk te ontzorgen. Het is daarom in hun belang dat volstrekt anonieme websites er niet onbetrouwbaarder uitzien dan die van jouw bank.

Gevolg: "collateral damage" voor de internetter. Onder andere doordat Google het rootcertificaat van een partij als Entrust voor straf uit Chrome verwijdert, terwijl "Google Trust Services" zélf bij de vleet gratis certificaten verstrekt, óók aan overduidelijk criminele partijen (voorbeeld: https://play.google·ivi.com; screenshot in https://infosec.exchange/@ErikvanStraten/113990009126611573, alle certificaten zie je in https://crt.sh/?q=play.google-ivi.com&deduplicate=y).

En de kleinere certificaatuitgevers (Sectigo en Digicert) rollen nu vechtend over straat: https://bugzilla.mozilla.org/show_bug.cgi?id=1950144.

Prima als de overheid (en bijv. consumentenorganisaties ) toeziet (toezien) op de betrouwbaarheid van (auditors van) certificaatuitgevers, maar net als dat de overheid niet zélf auto's APK keurt en notaris speelt, denk ik dat het géén goed idee is dat de overheid zelf certificaten gaat uitgeven - alleen al vanwege het risico op aftappraktijken.

Hoi Erik, ik ben het niet helemaal mee eens met jouw specifieke punten.

1) Bij elk ander domein eerst naar alle informatie moeten kijken is niet te doen. Super irritant, blokkeert de userflow en zal niet geliefd worden. Daarnaast zal iedereen gewoon op "next" gaan klikken zonder naar de relevante informatie te kijken.

2) Oke, maar dit moet wel op een manier die toelaat dat er verschillende betrouwbaarheidsniveaus zijn afhankelijk van wie het certificaat bekijkt. Een Russisch certificaat zal voor de Russen volledig te vertrouwen zijn, maar als belastingdienst.nl daar gebruik van maakt moeten bij Nederlanders alle alarmbellen gaan rinkelen!

3) Geen kritiek, maar welke velden had je dan in gedachten?
(En hoe betrouwbaar en controleerbaar zijn de huidige velden?)

4) Ik ben er vrij zeker van dat de gemiddelde gebruiker echt niet een gigantische lap tekst gaat lezen. Ze zullen het veelal niet boeien of anders is de inhoud dan wel te moeilijk, gezien dat veel gebruikers niet bepaald ICT-capabel is.

Maar de gedachte dat de betrouwbaarheid van websites verbeterd moet worden ben ik het absoluut wel mee eens. Zelf had al eens eerder hiervoor een idee geopperd om een soort "vertrouwde websites" concept te introduceren. Hier past jouw idee van een "certificaatscherm" zeer goed in. Hieronder dat idee:

Websites zijn standaard onvertrouwd, maar gebruikers kunnen de website (het hele domein) als vertrouwd instellen. Hierbij krijgt de gebruiker dan het certificaat te zien met alle bijbehorende gegevens. De DV certs hebben dan veel "Unknown"s, en EV certificaten bevatten alle gegevens van het bedrijf. De gebruiker mag de vertrouwde website dan een naam en kleurtje geven ter herkenning. Deze komen dan in de adresbalk te staan en vervangen de URL. Als de gebruiker weer op dezelfde website komt zal hij die aan de zelf-gegeven naam herkennen. En als hij op een namaak/phishing website beland, zal het ontbreken van deze naam en kleur een hele grote aanwijzing zijn dat er iets mis is. HTTPS en andere beveiligingsmaatregelen zijn natuurlijk geforceerd. En als er iets aan het certificaat veranderd zal de gebruiker het oude en nieuwe certificaat naast elkaar te zien krijgen ter beoordeling.

Ik denk dat dit bovenstaande idee ook verandering zal brengen in het huidige CA ecosysteem. Want als certificaten zichtbaarder worden, dan worden de CA's ook ineens zichtbaar. En dan hebben ze ineens een hele goede reden om aan te tonen dat ze betrouwbaar zijn.

@Named: dank voor jouw reactie!

Inderdaad hebben we een soort revolutie nodig, die door de EU afgedwongen zal moeten worden. Die EU moet daarbij niet opnieuw dezelfde fouten maken, en moet zich niet opnieuw leugens op de mouw laten spelden zoals bij de aankondiging van QWAC's.

Laat s.v.p. even weten of https://security.nl/posting/881798 van zojuist al jouw vragen voldoende beantwoordt - zo niet, dan ga ik later vandaag (klus tussendoor) graag op de resterende in!

ieuwwww, QWACs... :/

Ik heb je gelinkte bericht gelezen, en ben van mening dat jouw idee technisch gezien veilig is, maar praktisch gezien niet gaat werken. De gemiddelde burger zal die onderbrekende certificaatschermen al snel zat worden en blindelings wegklikken, zeker als ze snel even naar iets op zoek zijn en een aantal nieuwe websites bezoeken. (Even snel Forum 1, 2, 3 ... x aanklikken om dat ene antwoord te vinden, Nee, ga weg rotcertificaat! Dit hoeft niet veilig, dat is onnodig. Kan ik deze zooi ook uitzetten?) Browsers zouden zulke certificaat pop-ups nooit op die manier implementeren, gezien dat gebruikers frustreert en wegjaagt. Het zou hoogst ongewenst zijn, en aangezien jij dit introduceert zou jouw inbox waarschijnlijk vollopen met klachten. :-)

Waar jij (in mijn opinie) de fout in gaat is dat je de certificaat informatie nodeloos toont aan gebruikers die er op dat moment geen behoefte aan hebben. Deze informatie moet je pas tonen zodra de gebruiker dit wel wilt zien, namelijk bij het aanmaken van een account, het inloggen op een website of het invullen van een (bestel) formulier. Want pas op dat moment zal de gebruiker gaan denken van "is deze website geen phishing/oplichting?" en zullen ze dit willen controleren.

Ik zie de 4 punten die jij hebt genoemd dat gebruikers te zien moeten krijgen en ben het daar mee eens. De organisatie moet bij naam, oorsprong/land en identificatienummer (KVK voor NL?) benoemd worden, en het moet duidelijk zijn wie dat heeft vastgesteld en daarvoor garant staat. (Dit laatse is interresant als je naar https://belastingdienst.nl/ kijkt.)

Zo'n moment van authenticiteit controle is ook het ideale moment om iets te doen tegen phishing, aangezien de gebruiker zojuist de certificaat gegevens heeft beoordeeld. Hierin is dan een harde verbinding ontstaan tussen de dienst die de gebruiker afneemt/vertrouwd en het domein van de website de de gebruiker bezoekt. Mailtjes met valse links zullen hiermee gemakkelijk door de mand vallen als er een visuele indicator is of de huidige website daadwerkelijk de website is die de gebruiker verwacht te bezoeken. (Ik weet vrij zeker dat dit Troy Hunt een succesvolle phish had voorkomen.)

Eigenlijk zou ik een Proof-of-Concept van dit systeem dat ik in gedachten heb willen maken.
Maar dat is weer een project op de stapel... :-)

Opnieuw dank voor jouw reactie! Beslist ook "food for thought" voor mij.

Echter, het uitgangspunt dat overheden per definitie te vertrouwen zijn is mijn enige echte bezwaar tegen QWAC's. De partijen die het hardst tegen QWAC's protesteerden, zijn zo hypocriet als de pest.

In een overzicht uit 2024 van onterecht uitgegeven DV-certificaten (https://infosec.exchange/@ErikvanStraten/112914050216821746) vind je ook https://notes.valdikss.org.ru/jabber.ru-mitm/: weg "Snowden" argument voor Let's Encrypt.

Merk ook op dat de phishing-resistance van passkeys en hardware keys (zoals Yubikey, Feitian en Google Titan) ophoudt te bestaan zodra een bezoeker daarmee inlogt op een website die onterecht een certificaat heeft vergkregen.

En recentelijk verscheen https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/. Cloudflare is een gigantische MitM voor zeer veel websites en luistert ordinair inloggegevens af om dit soort rapporten te kunnen maken. Cloudflare kan probleemloos een DV-certficaat voor elke door hen geproxiede (CDN) website verkrijgen zodra de huurder van een domeinnaam het IP-adres van de server wijzigt in dat van de juiste Cloudflare server(s) - gemak dient de websitebeheerder. Cloudflare is ondertussen zelf certificaatuitgever, maar gebruikt voor de door hen geproxiede websites ook vaak door Google uitgegeven certificaten.

Fastly maakt het, zo mogelijk, nog bonter. Voor low budget proxying gebruikte Fastly eerder Let's Encrypt certificaten en nu van Google met het maximum aantal toegestane domeinnamen per LE/Google certificaat: 100 (totaal ongerelateerde websites bekijk de sectie "X509v3 Subject Alternative Name" in een van de certificaten in https://crt.sh/?q=zorgapp.hemazorgverzekering.nl maar eens).

Daarbij gebruikt Fastly ook nog eens vele jaren een klein aantal sleutelparen (druk op "Subject Public Key Info" en krijg een foutmelding vanwege te veel resultaten).

De bedoeling van TLS (en https) is een zo goed als onbreekbare E2EE verbinding tussen client en server. Daar is op het web zelden nog iets van over.

Hiermee heb je potentieel een punt. Overigens vind ik dat je alle irrelevante certificaatgegevens moet weglaten uit zo'n rapport, en dat er informatie moet worden toegevoegd, bijv. of er sprake is van een IDN en waarschuwen bij absurde constructies zoals www-example·com of example.com-internet·nl etcetera).

Een oplossing voor jouw prima kritiek zou kunnen zijn om optioneel af te kunnen wijken van de standaard instelling:


Zie boven: geef gebruikers een keuze.

Precies, in https://www.security.nl/posting/879497/Logius+waarschuwt+voor+malafide+brieven+over+activeren+van+DigiD#posting879531 gaf ik voorbeelden van nepsites die o.a. de site van de Belastingdienst nabootsen.

Eens.

:-)

Hier hetzelfde!

Ik vermoed dat we de onderlinge plooien wel glad kunnen strijken...

Dat lijkt mij prima!

Echter is deze reageerhoek daar geen handige plek voor, dus is daar een ander communicatiekanaal voor nodig.
Mastodon lijkt me niet heel handig, en ik neem aan dat je geen Discord wilt gebruiken, dus ik sta open voor suggesties.